"
Hat sich erledigt. Musste an der Fritzbox noch den Port freischalten. :/
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
#2
German - Deutsch / Re: Minecraft Server sicher publizieren?!
August 06, 2025, 11:49:28 PM
Also ich bin gerade echt ratlos. Ich sitze jetzt seit Stunden davor und sehe den Wald vor laute Bäumen nicht mehr...
Die Regel die ich erstellt habe scheint korrekt zu sein.
Intern über mein LAN/unRAID netz ist alles ok. Kann mich ohne probleme rauf connecten.
Wenn ich über die domain/Public IP gehe sehe ich nur das eine Anfrage über meine Fritzbox 192.168.178.39:41515 WAN IP Ziel <Public IP:25565> wieder rein kommt, aber danach verschwindet. Ich sehe sonst keinen block da hin. In den WAN rules sehe ich das forwarding.
Wenn ich die NAT Port Forwarding regel deaktiviere, sehe ich rein gar nichts.
Meine DNS Einstellung scheint also zu passen. An irgendeiner Stelle wird das paket wohl gedropt.
Ich habe mal surricata und zenarmor gecheckt, aber da ist nichts.
edit:
Ich habe auch nochmal in den Rules gecheckt, ob auch alle block regeln wirklich protokolliert werden.
Es gibt soweit ich das sehen kann nichts was sich nicht melden sollte... außer crowdsec, aber da verwende ich keine regeln die irgendwelche game services betreffen. ausschließlich SSH und sowas... aber das hier... ich versteh's nicht.
Die Regel die ich erstellt habe scheint korrekt zu sein.
Intern über mein LAN/unRAID netz ist alles ok. Kann mich ohne probleme rauf connecten.
Wenn ich über die domain/Public IP gehe sehe ich nur das eine Anfrage über meine Fritzbox 192.168.178.39:41515 WAN IP Ziel <Public IP:25565> wieder rein kommt, aber danach verschwindet. Ich sehe sonst keinen block da hin. In den WAN rules sehe ich das forwarding.
Wenn ich die NAT Port Forwarding regel deaktiviere, sehe ich rein gar nichts.
Meine DNS Einstellung scheint also zu passen. An irgendeiner Stelle wird das paket wohl gedropt.
Ich habe mal surricata und zenarmor gecheckt, aber da ist nichts.
edit:
Ich habe auch nochmal in den Rules gecheckt, ob auch alle block regeln wirklich protokolliert werden.
Es gibt soweit ich das sehen kann nichts was sich nicht melden sollte... außer crowdsec, aber da verwende ich keine regeln die irgendwelche game services betreffen. ausschließlich SSH und sowas... aber das hier... ich versteh's nicht.
#3
German - Deutsch / Re: Minecraft Server sicher publizieren?!
August 06, 2025, 09:13:03 PM
Könnt ihr mir noch kurz beim NAT helfen?
Scheinbar greift meine Regel nicht. Ich habe bisher nicht viel NAT'ting betrieben. :/
(Meine Regel im Anhang)
Was ich in der FW sehe, wenn ich eine Verbindung zum Server aufbauen will:
Scheinbar greift meine Regel nicht. Ich habe bisher nicht viel NAT'ting betrieben. :/
(Meine Regel im Anhang)
Was ich in der FW sehe, wenn ich eine Verbindung zum Server aufbauen will:
Code Select
WAN 2025-08-06T21:05:47 192.168.178.39:41515 X.X.X.X:25565 tcp let out anything from firewall host itself (force gw)
WAN 2025-08-06T21:05:45 192.168.178.39:64881 X.X.X.X:25565 tcp let out anything from firewall host itself (force gw)
WAN 2025-08-06T21:04:06 192.168.178.39:43651 X.X.X.X:25565 tcp let out anything from firewall host itself (force gw)
WAN 2025-08-06T21:04:05 192.168.178.39:36675 X.X.X.X:25565 tcp let out anything from firewall host itself (force gw)
#4
German - Deutsch / Re: Minecraft Server sicher publizieren?!
August 06, 2025, 07:55:27 PM
Ich probier's gleich aus. Vielen Dank für die Hilfe!
#5
German - Deutsch / Re: Minecraft Server sicher publizieren?!
August 06, 2025, 07:32:39 PM
Sehr schade. Hatte gehofft noch eine andere Lösung als das zu finden. :/
Habt ihr dafür nen NAT oder Port forward eingerichtet?
Das Whitelisting bzw. administrieren von einem Minecraft Server ist noch neuland für mich. Bin mal gespannt ob das so einfach ist.
Habt ihr dafür nen NAT oder Port forward eingerichtet?
Das Whitelisting bzw. administrieren von einem Minecraft Server ist noch neuland für mich. Bin mal gespannt ob das so einfach ist.
#6
German - Deutsch / Minecraft Server sicher publizieren?!
August 06, 2025, 01:05:25 PM
Hi @ll,
ich würde gerne einen privaten Server für meinen Nachwuchs einrichten. Dadurch das sie über eine Nintendo Switch spielen ist Wireguard ausgeschlossen.
Eine gewöhnliche reverse-proxy config scheint hier nicht zu greifen, weil über das Spiel den Server nicht über http aufgerufen wird, sondern eine TCP/UDP connection herstellt.
Weil ich bedenken habe einfach einen Port über die FW von Port * auf Port 25565 TCP/UDP zu einem Server zu öffnen der nicht 24/7 erreichbar ist, würde ich ganz gerne das caddy layer 4 feature nutzen.
Allerdings habe ich beim online suchen niemanden gefunden der das bereits eingerichtet hat.
Ich habe einen CNAME Eintrag für den Server erstellt und unter caddy>reverse proxy>subdomains eingerichtet. Allerdings machen die Minecraft Server keine HTTPS Anfrage, sondern gehen direct auf den TCP Port.
Aber dadurch das die Ports von extern variieren, kann ich also keinen bestimmten Port vordefinieren.
Ich habe gelesen, dass minecraft jetzt SRV records unterstützt. Ich kann aber wohl nicht von SRV auf CNAME weiterleiten und somit vom normalen reverse proxy aufgegriffen werden. Richtig?
Habt ihr einen Lösungsvorschlag der noch ein gewisses Maß an Sicherheit beinhaltet?
ich würde gerne einen privaten Server für meinen Nachwuchs einrichten. Dadurch das sie über eine Nintendo Switch spielen ist Wireguard ausgeschlossen.
Eine gewöhnliche reverse-proxy config scheint hier nicht zu greifen, weil über das Spiel den Server nicht über http aufgerufen wird, sondern eine TCP/UDP connection herstellt.
Weil ich bedenken habe einfach einen Port über die FW von Port * auf Port 25565 TCP/UDP zu einem Server zu öffnen der nicht 24/7 erreichbar ist, würde ich ganz gerne das caddy layer 4 feature nutzen.
Allerdings habe ich beim online suchen niemanden gefunden der das bereits eingerichtet hat.
Ich habe einen CNAME Eintrag für den Server erstellt und unter caddy>reverse proxy>subdomains eingerichtet. Allerdings machen die Minecraft Server keine HTTPS Anfrage, sondern gehen direct auf den TCP Port.
Aber dadurch das die Ports von extern variieren, kann ich also keinen bestimmten Port vordefinieren.
Ich habe gelesen, dass minecraft jetzt SRV records unterstützt. Ich kann aber wohl nicht von SRV auf CNAME weiterleiten und somit vom normalen reverse proxy aufgegriffen werden. Richtig?
Habt ihr einen Lösungsvorschlag der noch ein gewisses Maß an Sicherheit beinhaltet?
#7
German - Deutsch / Re: Unbound startet nicht mehr nach update auf 25.1.8_1amd64 - Unable to open pipe
June 18, 2025, 08:23:59 PM
Das hat aber lang gedauert bis das aufgetreten ist. Das Plugin habe ich schon eine weile installiert.
Mach ich auf jeden Fall. Ich muss dafür noch adguard anpassen. Sollte kein Ding sein.
Danke nochmal für die schnelle Hilfe!
Mach ich auf jeden Fall. Ich muss dafür noch adguard anpassen. Sollte kein Ding sein.
Danke nochmal für die schnelle Hilfe!
#8
German - Deutsch / Re: Unbound startet nicht mehr nach update auf 25.1.8_1amd64 - Unable to open pipe
June 18, 2025, 08:20:03 PM
Geht wieder!
Ich habe vor deiner antwort mal im Netz gesucht, warum netstat -tulpn nicht funzt. Leider habe ich auf die schnelle keine alternative gefunden. Diesen command muss ich mir jetzt definitiv notieren. :)
Ich weiß nicht warum, aber wie es scheint hat sich das Plugin mDNS-Repeater den Port selbst zugewiesen.
Ich habe vor deiner antwort mal im Netz gesucht, warum netstat -tulpn nicht funzt. Leider habe ich auf die schnelle keine alternative gefunden. Diesen command muss ich mir jetzt definitiv notieren. :)
Ich weiß nicht warum, aber wie es scheint hat sich das Plugin mDNS-Repeater den Port selbst zugewiesen.
Code Select
0 mdns-repea 87935 3 udp4 *:5353 *:*
0 mdns-repea 87935 4 udp4 192.168.1.1:5353 *:*
0 mdns-repea 87935 6 udp4 192.168.99.1:5353 *:*
#9
German - Deutsch / Re: Unbound startet nicht mehr nach update auf 25.1.8_1amd64 - Unable to open pipe
June 18, 2025, 07:50:54 PM
Hey danke für die schnelle Antwort!!
Sehr nützliche commands. Ich sollte mir solche Dinge auch mal aufschreiben für den Fall "ich hab wieder kein internet". :D
BTT:
953 war glaube ich ein TLS Port für DoT? Bin mir gerade nicht sicher. Ich muss immer zwischen Fritz-Box WLAN und LAN Opnsense wechseln..
Evtl. muss ich das aus der config löschen. Aber ich dachte mit dem verschieben der [unbound + unbound.conf.d/] dir's wäre ja erstmal keine config vorhanden. Wo wird denn die unbound config zusätzlich geschrieben?
Sehr nützliche commands. Ich sollte mir solche Dinge auch mal aufschreiben für den Fall "ich hab wieder kein internet". :D
BTT:
Code Select
chown: /var/unbound/lib: Read-only file system
[1750268689] unbound[12082:0] debug: creating udp4 socket 0.0.0.0 5353 udpancil
[1750268689] unbound[12082:0] error: bind: address already in use
[1750268689] unbound[12082:0] fatal error: could not open ports
[1750268689] unbound-control[12624:0] error: connect: Connection refused for 127.0.0.1 port 953
953 war glaube ich ein TLS Port für DoT? Bin mir gerade nicht sicher. Ich muss immer zwischen Fritz-Box WLAN und LAN Opnsense wechseln..
Evtl. muss ich das aus der config löschen. Aber ich dachte mit dem verschieben der [unbound + unbound.conf.d/] dir's wäre ja erstmal keine config vorhanden. Wo wird denn die unbound config zusätzlich geschrieben?
#10
German - Deutsch / Unbound startet nicht mehr nach update auf 25.1.8_1amd64 - Unable to open pipe
June 18, 2025, 07:32:57 PM
Hi @ll,
ich habe vorhin ein update gemacht und bekomme unbound leider nicht mehr zum laufen.
Ich bin mit meinem Latein gerade am Ende.
Ich bekomme ständig diese Meldung im Log:
Natürlich habe ich erstmal die SuFu genutzt:
Unbound won't start - unable to open pipe (24.1.10_3)
Leider hat das auf diese Weise bei mir nicht funktioniert.
Ich habe bereits das höchste log-level aktiv, aber ich bekomme da nicht mehr raus gekitzelt.
Die FW habe ich bereits ein paar mal rebooted.. kein erfolg bisher.
Sonst noch jemand ne idee? Ich bin ohne unbound quasi nicht mehr in der Lage irgendwas hier aufzulösen...
IMO schon ein kritischer Dienst.
ich habe vorhin ein update gemacht und bekomme unbound leider nicht mehr zum laufen.
Ich bin mit meinem Latein gerade am Ende.
Ich bekomme ständig diese Meldung im Log:
Code Select
2025-06-18T19:21:21 Error unbound Unable to open pipe. This is likely because Unbound isn't running.
2025-06-18T19:21:11 Notice unbound Backgrounding unbound logging backend.
2025-06-18T19:21:11 Notice unbound daemonize unbound dhcpd watcher.
Natürlich habe ich erstmal die SuFu genutzt:
Unbound won't start - unable to open pipe (24.1.10_3)
Leider hat das auf diese Weise bei mir nicht funktioniert.
Ich habe bereits das höchste log-level aktiv, aber ich bekomme da nicht mehr raus gekitzelt.
Die FW habe ich bereits ein paar mal rebooted.. kein erfolg bisher.
Sonst noch jemand ne idee? Ich bin ohne unbound quasi nicht mehr in der Lage irgendwas hier aufzulösen...
IMO schon ein kritischer Dienst.
#11
German - Deutsch / Re: Bambu Lab Printer LAN Mode - Wie Broadcasts weiterleiten?
May 12, 2025, 06:15:30 AM
Also an
Hat kein Effekt.
Ich glaube aber mittlerweile das vllt die BambuStudio Software verbugt ist.
Wenn ich mich mit meinem Notebook ins WLAN (same subnet) tut sich auch nix. Was aber nicht der Fall sein dürfte...
Code Select
WLAN 2025-05-11T10:28:57 0.0.0.0 224.0.0.1 igmp Block everythinglag es nicht.. hab das mal in einer FW rule gewhitelisted. Hat kein Effekt.
Ich glaube aber mittlerweile das vllt die BambuStudio Software verbugt ist.
Wenn ich mich mit meinem Notebook ins WLAN (same subnet) tut sich auch nix. Was aber nicht der Fall sein dürfte...
#12
German - Deutsch / Re: Bambu Lab Printer LAN Mode - Wie Broadcasts weiterleiten?
May 11, 2025, 09:46:46 PM
Das hatte ich tatsächlich auch schon versucht. Der Dienst lief auch als ich diesen Post erstellt habe.
Allerdings wundert mich woher die IPv6 beim Drucker käme. Auf meinem Drucker selbst kann ich nicht nachvollziehen ob dieser IPv6 verwendet.
Meine FW hat jedenfalls kein IPv6 aktiv noch einen DHCPv6.
Mein mDNS Repeater ist recht simpel eingestellt.
Hab LAN und WLAN als hörende Schnittstellen. Mehr nicht. Scheint aber nix zu bringen weil das Protokoll von der FW durch "Block everything" blockiert wird. Also brauche ich eine Ausnahme für Link Local Adressen und 0.0.0.0??
Allerdings wundert mich woher die IPv6 beim Drucker käme. Auf meinem Drucker selbst kann ich nicht nachvollziehen ob dieser IPv6 verwendet.
Meine FW hat jedenfalls kein IPv6 aktiv noch einen DHCPv6.
Mein mDNS Repeater ist recht simpel eingestellt.
Hab LAN und WLAN als hörende Schnittstellen. Mehr nicht. Scheint aber nix zu bringen weil das Protokoll von der FW durch "Block everything" blockiert wird. Also brauche ich eine Ausnahme für Link Local Adressen und 0.0.0.0??
#13
German - Deutsch / Bambu Lab Printer LAN Mode - Wie Broadcasts weiterleiten?
May 11, 2025, 10:37:44 AM
Hi @ll,
ich versuche aktuell meinen china drucker etwas "sicherer" zu betreiben und möchte aus der Cloud in's LAN wechseln. Allerdings gestaltet sich das ganze etwas tricky, weil BambuStudio sich nicht über LAN mit dem Teil verbinden kann, wenn es sich nicht im gleichen subnet befindet.
Offenbar benötigt BambuStudio ein gebroadcastedes UDP Paket in dem die Seriennummer des Druckers mitgeteilt wird. Eine manuelle eingabe ist nicht möglich (außer in HomeAssistant..). Ansonsten tut sich rein gar nichts wenn sich mein client nicht im gleichen Netz befindet.
Mein Aufbau:
Ich habe erfolgreich eine Verbindung über meinen Home Assistant (DMZ-Server) mittels Plugin aufgebaut.
Dazu war keine Firewall konfiguration notwendig. Im Home Assistant reicht die eingabe der IP, AccessCode und der Seriennummer.
Für mein LAN jedoch muss ich zwingend den Broadcast empfangen der wie folgt aussieht:
Leider sehe ich in den FW Logs keinen block auf diesen Port oder von dieser Addresse kommend.
Was ich sehe, aber nicht eindeutig meinem Drucker zuweisen kann:
Ich habe versucht mittels UDP Broadcast Relay eine Weiterleitung einzurichten, aber ohne erfolg..
Ich hab es schon mit einer FW Regel versucht, aber die wird nie angewandt, also scheint sie falsch zu sein.
Hat das hier schon mal einer zum Laufen bekommen? Ich hab selber keine VLAN's im Einsatz.
Es gab zwar Workarounds aus der Community mit "UDP Forwardern", aber die funktionieren nicht mehr mit der neuesten Version von BambuStudio.
ich versuche aktuell meinen china drucker etwas "sicherer" zu betreiben und möchte aus der Cloud in's LAN wechseln. Allerdings gestaltet sich das ganze etwas tricky, weil BambuStudio sich nicht über LAN mit dem Teil verbinden kann, wenn es sich nicht im gleichen subnet befindet.
Offenbar benötigt BambuStudio ein gebroadcastedes UDP Paket in dem die Seriennummer des Druckers mitgeteilt wird. Eine manuelle eingabe ist nicht möglich (außer in HomeAssistant..). Ansonsten tut sich rein gar nichts wenn sich mein client nicht im gleichen Netz befindet.
Mein Aufbau:
Code Select
WAN / Internet
:
: DialUp-/PPPoE-/Cable-/whatever-Provider
:
.-----+-----.
| Gateway | (or Router, CableModem, whatever)
'-----+-----'
|
WAN | IP or Protocol
|
.-----+------. private LAN .-----+------. private DMZ .------------.
| LAN +--------------+ OPNsense +-----------------+ DMZ-Server |
'-----+------' 192.168.1.1 '-----+------' 192.168.100.1 '------------'
|
|
|
.-----+-----.
| WLAN |
'-----+-----'
|
Bambu Printer
192.168.99.1Ich habe erfolgreich eine Verbindung über meinen Home Assistant (DMZ-Server) mittels Plugin aufgebaut.
Dazu war keine Firewall konfiguration notwendig. Im Home Assistant reicht die eingabe der IP, AccessCode und der Seriennummer.
Für mein LAN jedoch muss ich zwingend den Broadcast empfangen der wie folgt aussieht:
Code Select
WLAN
igc4 2025-05-09
14:14:22.697853 b8:13:32:8a:75:f2 ff:ff:ff:ff:ff:ff ethertype IPv4 (0x0800), length 493: (tos 0x0, ttl 64, id 62405, offset 0, flags [DF], proto UDP (17), length 479)
192.168.99.15.2021 > 255.255.255.255.2021: [udp sum ok] UDP, length 451Leider sehe ich in den FW Logs keinen block auf diesen Port oder von dieser Addresse kommend.
Was ich sehe, aber nicht eindeutig meinem Drucker zuweisen kann:
Code Select
WLAN 2025-05-11T10:29:32 [fe80::ebf4:cfd5:5887:6766]:5353 [ff02::fb]:5353 udp Block everything
WLAN 2025-05-11T10:28:57 0.0.0.0 224.0.0.1 igmp Block everythingIch habe versucht mittels UDP Broadcast Relay eine Weiterleitung einzurichten, aber ohne erfolg..
Code Select
LAN, WLAN 255.255.255.255 1.1.1.1 2021 2 BambuLab_P2021
LAN, WLAN 239.255.255.250 1.1.1.1 1990 3 BambuLab_P1990
Ich hab es schon mit einer FW Regel versucht, aber die wird nie angewandt, also scheint sie falsch zu sein.
Hat das hier schon mal einer zum Laufen bekommen? Ich hab selber keine VLAN's im Einsatz.
Es gab zwar Workarounds aus der Community mit "UDP Forwardern", aber die funktionieren nicht mehr mit der neuesten Version von BambuStudio.
#14
German - Deutsch / Re: ACME - curl error (bug?) - Kann keine Zertifikate mehr anfordern.
March 18, 2025, 08:14:46 PM
Firma dankt!
#15
German - Deutsch / Re: ACME - curl error (bug?) - Kann keine Zertifikate mehr anfordern.
March 18, 2025, 07:49:28 PM
Hab dir mal eben ne PM geschickt damit du dich selbst überzeugen kannst.
